Эксперты по киберразведке (Threat Intelligence) компании F6 зафиксировали появление в даркнете новой партнёрской программы под названием Anubis. На первый взгляд она напоминает типичные схемы RaaS (программы-вымогатели как услуга), когда владельцы программ-вымогателей предоставляют их для использования другим злоумышленникам за процент от выкупа. Однако среди предложений Anubis специалисты F6 обнаружили уникальную бизнес-модель, которая ранее не встречалась.
Первая схема, предложенная Anubis, является стандартной моделью RaaS: партнёры получают доступ к программам-вымогателям, разработанным для взлома и вымогательства.
Однако в модели Data Ransom вместо программ-вымогателей предлагается новый способ шантажа. Обычно преступники сами взламывают компании и требуют выкуп за неразглашение украденных данных. Владелец программы, известный под ником superSonic, разделил эти процессы. Теперь Anubis предлагает свои услуги тем злоумышленникам, которые уже получили доступ к данным компаний, но ещё не использовали их. В их распоряжении будет помощь в переговорах с жертвами для получения выкупа, включая методы давления на компании, такие как информирование контрагентов, клиентов или регулирующих органов, а также публикации в социальной сети X.
Ещё одна схема — продажа доступа к компании для будущих атак. Партнёр предоставляет доступ к целевой компании, а затем команда Anubis берёт на себя выполнение всех дальнейших действий. В случае успешной атаки прибыль делится пополам. В отличие от стандартной модели RaaS, где выручка распределяется в соотношении 80/20 (основная часть идёт партнёру, а меньшая — владельцу шифровальщика), в модели Data Ransom прибыль делится в соотношении 60/40. Также для всех моделей предусмотрен запрет на сотрудничество с компаниями из стран, которые когда-либо входили в состав СНГ.
Аналитики F6 Threat Intelligence предполагают, что Anubis является усовершенствованной версией партнёрской программы RaaS InvaderX. Эта версия подтверждается несколькими источниками.
Обе программы используют одну и ту же схему шифрования — ECIES (алгоритм на основе эллиптических кривых), которая встречается довольно редко.
Ещё одно совпадение — это запрет для партнёров атаковать страны БРИКС, что также является редкостью.
Пользователь InvaderX перестал обновлять информацию о сервисе в ноябре 2024 года и не проявлял активности на форумах как минимум с января 2025 года. В свою очередь, пользователь superSonic зарегистрировался на форуме полгода назад, и его сообщение о программе Anubis стало первым.
Участники программы уже начали активную деятельность: на момент исследования они опубликовали данные об утечках как минимум из 4 компаний в США, Австралии и Перу.
Первая схема, предложенная Anubis, является стандартной моделью RaaS: партнёры получают доступ к программам-вымогателям, разработанным для взлома и вымогательства.
Однако в модели Data Ransom вместо программ-вымогателей предлагается новый способ шантажа. Обычно преступники сами взламывают компании и требуют выкуп за неразглашение украденных данных. Владелец программы, известный под ником superSonic, разделил эти процессы. Теперь Anubis предлагает свои услуги тем злоумышленникам, которые уже получили доступ к данным компаний, но ещё не использовали их. В их распоряжении будет помощь в переговорах с жертвами для получения выкупа, включая методы давления на компании, такие как информирование контрагентов, клиентов или регулирующих органов, а также публикации в социальной сети X.
Ещё одна схема — продажа доступа к компании для будущих атак. Партнёр предоставляет доступ к целевой компании, а затем команда Anubis берёт на себя выполнение всех дальнейших действий. В случае успешной атаки прибыль делится пополам. В отличие от стандартной модели RaaS, где выручка распределяется в соотношении 80/20 (основная часть идёт партнёру, а меньшая — владельцу шифровальщика), в модели Data Ransom прибыль делится в соотношении 60/40. Также для всех моделей предусмотрен запрет на сотрудничество с компаниями из стран, которые когда-либо входили в состав СНГ.
Аналитики F6 Threat Intelligence предполагают, что Anubis является усовершенствованной версией партнёрской программы RaaS InvaderX. Эта версия подтверждается несколькими источниками.
Обе программы используют одну и ту же схему шифрования — ECIES (алгоритм на основе эллиптических кривых), которая встречается довольно редко.
Ещё одно совпадение — это запрет для партнёров атаковать страны БРИКС, что также является редкостью.
Пользователь InvaderX перестал обновлять информацию о сервисе в ноябре 2024 года и не проявлял активности на форумах как минимум с января 2025 года. В свою очередь, пользователь superSonic зарегистрировался на форуме полгода назад, и его сообщение о программе Anubis стало первым.
Участники программы уже начали активную деятельность: на момент исследования они опубликовали данные об утечках как минимум из 4 компаний в США, Австралии и Перу.